【KK原创】-《医疗卫生机构网络安全管理办法》的思考

admin 2022年9月26日17:20:04制度法规评论9 views2573字阅读8分34秒阅读模式

(由于无法直接上传文档,聊天回复《办法解读》,获取PPT下载地址)

一、构成:

    总则、网络安全管理、数据安全管理、监督管理、管理保障

二、重点内容:

01.发行者:国家(卫健委、中医药局、疾控局)

02.目的:加强网络安全管理、促进互联网+医疗健康发展、发挥健康医疗大数据的基础性战略资源作用

03.机构管理:发行者提供统筹、指导、评估、和监督,县级以上卫生健康行政部门负责指导监督

04.范围:云计算、物联网、区块链、5G、大数据,系统功能、服务范围、服务对象、处理数据,规划和申报阶段确定网络安全保护等级

05.安全通报预警:三级医院-态势感知平台建设、威胁情报工作、安全威胁分析和态势研判

06.新技术的应用:人脸技术的使用,使用目的、主体权益保障

三、核心要求:

一个周期--全生命周期管理。

1、网络安全方面:围绕信息系统全生命周期,提出落实等级保护制度、监测预警、应急实战、安全整改、人员管理、新技术应用、密码安全、医疗设备、供应链管理等方面的要求;
2、数据安全方面,以保障数据的机密性、完整性、可用性为目标,要求采取数据加密、数据备份、数据脱敏等技术,加强数据收集、传输、存储、使用、交换、销毁等全生命周期的安全防护。

两个要点--顶层设计和制度保障。

1、顶层设计方面,在整体网络安全体系的基础上,依据数据的特性建构网络和数据安全顶层设计,落实安全责任分工,明确数据管理部门、业务部门、信息化部门在网络和数据安全管理工作中的权责。
2、制度保障方面,应建立健全安全管理制度、操作规程及技术规范。在执行过程中,应密切结合自身业务模式的变更,及时修订完善制度要求,保持网络和数据安全制度的有效执行力及充分协同。

三位一体--管理、技术、运营

 建立网络安全管理制度体系,加强网络安全防护

通过管理和技术手段保障数据安全和数据应用的有效平衡。将总体安全策略拆解到具体安全管理要求,并通过安全技术实现管理要求,最终融入对应到安全运营体系中,形成融合管理、技术、运营三位一体的立体化网络安全管理模式。

四个体系-防护、监测、处置、保障

1、安全防护,要求建立“实战化、体系化、常态化”的安全防护体系,形成“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护态势;
2、安全监测,鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息,并与国家及行业平台对接;
3、安全处置,要形成监督管理、安全检查、应急预案、联防联控协同体系;
4、安全保障,通过统筹领导和规划设计,在人才培养、安全培训、经费支持等方面实现全方位保障。

四、总则:

法律框架:《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等有关法律法规标准

分级保护:关键信息基础设施、网络安全等级保护三级及以上

三化六防:“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”

技术方法:利用人工智能、大数据分析等技术、强化安全监测、态势感知、通报预警和应急处置等重点工作

五、网络安全管理

组织架构级人员:

1、成立专项小组,主要负责人领导负责
2、至少一次网络安全办公会
3、明确职能部门,设立专门岗位
4、建立技术体系、制度体系和应急响应体系

网络安全等级保护:

1、规划和申报阶段确定并报主管部门审核同意
2、新技术的应用要特别梳理、明确(云、5G、大数据、区块链、物联网等)
3、细化功能和范围(网络的功能、服务范围、服务对象和处理数据等)
4、10个工作日内备案、撤销、变更(普通行业,一般按月)
5、一个中心(安全管理中心),三重防护(安全通信网络、安全区域边界、安全计算环境)”
6、三级及以上---每年、二级+10万个人信息--三年、其他五年。

技术建设:

1、态势感知平台建设
2、建立应急处置机制

其他:

1、通过文档核验、漏洞扫描、渗透测试等进行自查及整改
2、关基-对安全人员进行安全背景审查
3、相关人员的安全管理(入职、培训、考核、离岗),建立各类审批流程。(实名登记、背景审查、保密协议、资质核验)
4、医疗设备的相关网络安全管理制度及流程
5、密码产品和服务的要求
6、供应链安全管理的要求
7、资产管理的要求(更新、下线、废止、销毁等)

六、数据安全管理

组织架构级人员:

1、成立专项小组,明确业务部门和管理部门的责任
2、安全责任书:规范管理、业务、信息化等部门的权责
3、涉密人员的保密协议

数据全生命周期管理

1、数据资产的梳理(分类分级、重要程度、危害程度)
2、数据安全管理制度、操作规程及技术规范,年更新
3、每年对本单位的数据进行数据安全风险评估
4、数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作
5、数据出境,提交网络安全审查(kksecurity:解读)
6、三级及以上---每年、二级+10万个人信息--三年、其他五年。

技术建设部分:

1、数据脱敏、数据加密、链路加密等防控措施,防止数据收集过程中数据被泄露
2、不同安全级别数据的加密传输进而建立接口安全控制
3、存储安全:备份、加密、保存周期、访问控制、数据副本、数据归档等
4、日志审计相关
5、发布、共享前应评估安全风险
6、数据销毁、数据残留风险和数据备份风险

人脸识别或辨识

1、除人脸方式外,应提供其他方式
2、不得影响基本业务功能
3、使用目的
4、特性化安全能力(加密传出和存储)
5、物理或逻辑隔离存储人脸识别和身份信息

七、八个信息化时代下的健康医疗数据安全场景

注:此部分图、文均为原创,如需转载请注明或联系作者。

1、互联互通数据安全

【KK原创】-《医疗卫生机构网络安全管理办法》的思考

2、远程医疗数据安全

【KK原创】-《医疗卫生机构网络安全管理办法》的思考

3、汇聚中心数据安全

【KK原创】-《医疗卫生机构网络安全管理办法》的思考

4、健康传感数据安全

【KK原创】-《医疗卫生机构网络安全管理办法》的思考

5、移动应用数据安全

【KK原创】-《医疗卫生机构网络安全管理办法》的思考

6、临床研究数据安全

【KK原创】-《医疗卫生机构网络安全管理办法》的思考

7、商保对接数据安全

【KK原创】-《医疗卫生机构网络安全管理办法》的思考

8、器械维护数据安全

【KK原创】-《医疗卫生机构网络安全管理办法》的思考

八、监督管理

01.配合监督管理及日常检查
02.积极整改
03.应急预案和风险处置

        04.网络安全事件的上报等

九、管理保障

01.要求高度重视并列入重要议事日程,人员、经费、相关建设的保障
02.人员:建立人才机制(培养、选拔、教育、使用、发现等)
03.经费投入:不少于信息化项目预算5%
04.网络安全考核评价机制,与绩效挂钩


原文始发于微信公众号(KK安全说):【KK原创】-《医疗卫生机构网络安全管理办法》的思考

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月26日17:20:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【KK原创】-《医疗卫生机构网络安全管理办法》的思考 http://cn-sec.com/archives/1316692.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: